信息安全合规性的实施路线探讨.pdfVIP

·GB／T284502012 《信息安全技术 信息安全 别多，最相关的有 ： 管理体系审核指南》(ISO／IEC27007，MOD) ·GBT／22239—2O08 《信息安全技术 信息系统 (二 )信息系统安全等级保护 安全等级保护基本要求》 信息系统安全等级保护是以GB17859--199~强 ·GB／T22240--2008《信息安全技术 信息系统 制标准)为基础的一系列标准族 ，《关于信息安全等 安全等级保护定级指南》 级保护工作的实施意见》公通字 [2004]66描述其应 ·GB／T25058--2010 《信息安全技术 信息系统 用范围主要为国家重点保护涉及国家安全、经济命 安全等级保护实施指南》 脉、社会稳定的基础信息网络和重要信息系统，主 ·GB／T28448--2012《信息安全技术 信息系统 要包括 ：国家事务处理信息系统 (党政机关办公系 安全等级保护测评要求》 统 )；财政、金融、税务、海关 、审计 、工商、社会 ·GB／T284492012《信息安全技术 信息系统 保障、能源、交通运输 、国防工业等关系到国计民 安全等级保护测评过程指南》 生的信息系统 ；教育、国家科研等单位的信息系统 ； (三 )JSMS与等级保护的整合实施 公用通信、广播电视传输等基础信息网络中的信息 许多组织可能同时要满足ISMS和信息系统安全 系统 ；网络管理中心、重要网站中的重要信息系统 等级保护的要求，或者更多的监管文件，这意味着 和其他领域的重要信息系统。 需要整合实施。首先 ，如果将所有的控制措施拆散， ISMS的安全需求是组织 自己识别的，然后按照 ISMS与信息系统安全等级保护并无本质的区别，这 相关的标准去部署，审核主要是为了确认组织 自圆 意味着在控制措施级别的整合是无障碍 的。其次， 其说的ISMS。等级保护虽然也是 自主定级，但是须 对框架来说，ISMS的框架更为经典，建议在实施的 经主管部门确认，实施和测评都是根据定级进行的。 过程中采用PDCA循环，示例如图1。 目前已经发布的信息系统安全等级保护标准特 ISMS要求 等级保 组织文件或措施 l 适用的等级 l GB，_r22240 I 控制措施1 控制措施2 i适用性声明 控制措施n GB／T 22239 图1整合实施 虽然这超出了合规性本身的含义，但是就其体系设 三、结语 计的有效性而言，具有很大的借鉴意义。 无论是采用信息安全安全管理体系 (ISMS)还 参考文献 是信息系统安全等级保护，或者整合实施，都能够 [1]谢宗晓． 《政府部门信息安全管理基本要求》